Federal savcılar bugün 24 yaşındaki David Jose Gomez Cegarra’ya ve 19 yaşındaki İsa Segundo Hernandez-Gil’e karşı, dört ABD eyaletinde koordineli bir ATM “combotting” kampanyasını düzenlediği iddia edildiği için cezai şikayetler.
Sanıklar, banka hırsızlığı ve banka hırsızlığı yapmak için komplo suçlamasıyla karşı karşıya kalırlar ve maksimum 10 yıllık hapis cezası alırlar.
Tutuklamalar, FBI Siber Bölümü ve yerel kolluk kuvvetleri tarafından kredi birliklerini ve banka ATM’lerini hedefleyen karmaşık yazılım odaklı finansal sahtekarlık operasyonunda ortak bir soruşturmayı izliyor.
Cezai şikayet, fiziksel bir ATM uzlaşmasıyla başlayan metodik bir saldırı dizisini özetlemektedir. 5 Ekim 2024’teki gözetim görüntüleri başına, Kenmore, New York’taki RADIUS Federal Kredi Birliği olayı, komplocular çalınan veya çoğaltılmış bir bakım anahtarı kullanarak ATM’nin dahili konutlarına erişti.
Adli analistler, ATM’nin elektronik kontrol ünitesi (ECU) ve nakit dağıtıcı arasındaki işlem dağıtım protokolü (TDP) sinyallerini engellemek için tasarlanmış bellek çizme kötü amaçlı yazılımlarla önceden yüklenmiş değiştirilmiş bir sabit sürücünün kurulumunu belirledi.
ATM Hack: Nakit Hırsızlığı
Plowus.d ailesinin bir türevi olduğuna inanılan bu kötü amaçlı yazılım varyantı, SMS veya Bluetooth tetikleyicileri aracılığıyla uzaktan komut yürütmeyi sağladı ve standart hipervizör düzeyinde güvenlik protokollerini atladı.
Dağıtım yapıldıktan sonra, saldırganlar günlük para çekme sınırlarını geçersiz kılmak ve “nakit çıkış” modlarını zorlamak için önceden tanımlanmış komut kodları göndererek kaset rezervlerini dakikalar içinde boşalttılar.
5 Ekim saldırısı, sahtekarlık algılama sistemleri anormal işlem kalıplarını işaretlemeden önce birden fazla para çekme döngüsünde 110.440 dolar çıkardı.
Müfettişler, kötü amaçlı yazılımların SHA-256 karma (9F86D08184C7D659A2FEAA0C5AD015A3BF4F1B2B0B822CD15D6C15B0F00A08’i üç sonraki bu durumla ilişkilendirdi:
- 6 Ekim 2024: ATM ECU ürün yazılımı aracılığıyla St. Maly’s FCU’dan (Framingham, MA) çalınan 63.200 $, savunmasız v2.1.7
- 17 Ekim 2024: Klonlanmış EMV Chip Bypas
- 11 Kasım 2024: Pin Pad Skimmer Yardımcı Kurulumlarından İki Topluluk Birinci Bankası ATM’den (Mount Vernon, IL) alınan 80.250 $
Atılım, Mahomet PD subaylarının Diebold Opteva 520 atm’de keşif yapan Gomez-Carra ve Hernandez-Gil’i tanımladığı Illinois olayları sırasında geldi. Kiralık araçları için arama emirleri ortaya çıkarıldı:
- Özel ATM İzinsiz Girişim Komut Dosyaları ile Kali Linux Yüklü Raspberry Pi 5
- ATM XFS Middleware istismar kodu içeren 32GB SanDisk Cruzer
- “ATM_ECU_BackDoor_V3.2” etiketli klonlanmış kopyalı sabit disk kopyası
Mağdur ATMS’den ağ günlükleri, Panama’da barındırılan komut ve kontrol sunucularına kalıcı SSH tünelleri kurmadan önce TOR çıkış düğümleri (82.221.128.191, 81.6.43.184) yoluyla saldırgan IPS yönlendirmesini ortaya çıkardı.
DOJ, ECU manipülasyon öğreticileri ve nakit çıkış programları içeren şifreli telgraf iletişimini tanıtmayı planlıyor.
Halen MCC Chicago’da düzenlenen her iki sanıkla birlikte, 25 Mart 2025’te ön duruşmalar yapılması planlanmaktadır.
Siber güvenlik uzmanları, bu davanın eski ATM mimarilerindeki kritik güvenlik açıklarını vurguladığı konusunda uyarıyor, hala Windows XP gömülü sistemleri güvenli önyükleme uygulaması olmadan kullanıyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free